Tablettes & SmartPhonesWindows 8, iOS, Android: Stratégie de protection de
l'information sous l'ère du BYOD
Sylvain CortesPartnership & Alliances Manager
Entreprise / IT / Serveurs / Réseaux / Sécurité
Blog Francophone sur la gestion des identités et des accès:www.identitycosmos.com
LE BYOD DANS L’ENTREPRISE MODERNESection n°1
LE BYOD DANS L’ENTREPRISE MODERNE
LE BYOD DANS L’ENTREPRISE MODERNE
Définition du BYOD
Quelle définition ?
BYOD: mythe ou réalité ?
LE BYOD DANS L’ENTREPRISE MODERNE
• Pourquoi cette tendance ?
• Adoption réelle ?
• Un mal nécessaire ?
• Culture, législation !
• La France ? ! ? !
: BYOD, BY…D (« BIDE »), BAD
LE BYOD DANS L’ENTREPRISE MODERNE
• Le BYOD devient le BAD: « BringAny Device » (législation Fr)
• Tendance importante sur des populations ciblées (VIPs)
• Difficultés réelles de la DSI face à ces nouveaux usages et rôles
• Voir le discours de Patrick Pailloux
B Y O D
Les enjeux du BYOD
LE BYOD DANS L’ENTREPRISE MODERNE
Deux enjeux majeurs à garder à l’esprit:
• Ne pas penser « périphérique » mais penser triptyque: « périphérique + applications + données »
• Une révolution intellectuelle s’impose : il n’y a plus de standards, et les changements de paradigmes sont très rapides
PROTECTION DE L’INFORMATION & SÉCURITÉ PÉRIMÉTRIQUE
Section n°2
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Accompagnement du BYOD
• Globalement, les entreprises doivent se munir d’un outil de MDM: Mobile DeviceManagement
• Plus de 50 fournisseurs de solution de MDM recensés dans le monde de l’IT !
• Les MDM se séparent en 2 familles:– Les outils utilisant les API des fournisseurs d’OS pour les périphériques– Les outils utilisant une SandBox et un environnement séparé sur le périphérique
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Quelle protection dans un monde ouvert ?
• Quel rôle peut avoir la sécurité périmétrique dans un monde ouvert ?
• A quoi sert finalement un firewall ? Périphériques mobiles, Dropbox, Skydrive, DLFree, Mega, Stockage Azure, etc.
• Des protection au niveau « Chip »: Intel AT
• La valeur est dans la donnée elle-même
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Il faut protéger la donnée
• Solution de protection de la donnée à l’échelle de l’entreprise: 2 approches pour les outils de lutte contre la fuite de donnée:– DLP: Data Lost Prevention– IRM/ERM: Information Right Management
• Chez Microsoft, l’IRM se nomme AD RMS
• AD RMS réalise un focus sur
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Il faut protéger la donnéeIRM « traditionnel » DLP
Comment ca marche ?
- L’utilisateur final est responsable de la protection appliquée
- Le contenu ne peut être accédé que par des utilisateurs authentifiés/autorisés
- Certaines fonctions applicatives (copier/coller, imprimer, etc.) peuvent être interdites
- Les permissions peuvent être révoquées à tout moment
- S’applique à des documents
- Les documents sont classifiés par leur contenu
- La sécurité sur les documents (protégé, confidentiel, etc.) est assignée automatiquement en fonction des Meta-données du document utilisées pour classifier l’information
- Le contenu est analysé en fonction du contenu et du contexte, la meilleure action possible est appliquée (Surveiller, bloquer, être en quarantaine, chiffrer, appliquer une protection IRM, etc.)
- S’applique à des documents ou à des contenus moins structurés
Focus - La protection du document est valide dans et en dehors de l’entreprise
- Indépendant du protocole ou du média de transmission
- Protection persistante: protection attachée au document/email lui-même
- Protection contre la fuite depuis l’interne- Contrôle des moyens pour
envoyer/recevoir/accéder l’information et des applications utilisées pour accéder/transmettre/copier l’information
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Il faut protéger la donnéeIRM « traditionnel » DLP
Points forts - Déploiement relativement simple- Protection persistante en dehors de
l’entreprise- Les permissions peuvent être
révoquées- Les actions des utilisateurs sur les
documents peuvent être auditées à l’intérieur et à l’extérieur de l’entreprise
- Des actions spécifiques peuvent être contrôlées (copie/coller, imprimer, etc.)
- La protection dépend de la décision de l’utilisateur
- Application automatique des politiques de sécurité
- La protection de dépend pas du type de fichier
- Les actions des utilisateurs peuvent être auditées à l’intérieur de l’entreprise
- Facilité à protéger du contenu existant
Points faibles - Peut être utilisé sur un spectre restreint d’applications (Office, email,; PDF, etc.)
- La protection dépend de la décision de l’utilisateur
- La protection du contenu existant implique un travail supplémentaire
- Intégration avec certains types de fichiers peut être complexe
- Implique une classification en amont des données, sous peine de travailler « en aveugle » ou selon des critères techniques approximatifs
- Si l’information parvient à l’extérieur de l’entreprise par un chemin « légal » , il n’y a plus aucun contrôle sur le contenu
- Niveau de granularité grossier, gros besoin des Méta-données
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Il faut protéger la donnée
Cout
Fon
ction
s /
Sé
curité
DLPDLP
80%
Approche
DLP
Approche
Quick Win
IRMIRM
Points clés:
- Éviter le « syndrome du SSO »
- Sécurité périmétrique vs Sécurité persistante
- Il faut lier le DLP à l’IRM
AD RMS
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Il faut protéger la donnée
• Au-delà des différences philosophiques, la technique du DLP est difficilement applicable au monde des périphériques mobiles
• Les MDM utilisant une SandBox s’apparentent à des firewalls ou à des DLP pour périphériques mobiles
• La méthodologie IRM semble être la bonne
PROTECTION DE L’INFORMATION & SECURITE PERIMETRIQUE
Il faut protéger la donnée
IRM
DLP
MICROSOFT AD RMSSection n°3
MICROSOFT AD RMS
MICROSOFT AD RMS
Quelques rappels…
Partenaires ISVs pour: PDF, XML, TXT, JPEG, Autocad, BlackBerry, iOS, Android , etc.
70% des projets ont
pour focus la protection des
emails
MICROSOFT AD RMS
Quelquesrappels…
Infrastructure RMS
Active
Directory
MS SQL
Droits
CLCSPC RAC
CLCSPC RAC
DroitsDroitsDroits
MICROSOFT AD RMS
Quelques rappels…
Modèles de droits et interface dans Microsoft Outlook
MICROSOFT AD RMS
Quelques rappels…
Office
MICROSOFT AD RMS
Quelques rappels…
MICROSOFT AD RMS
Quelques rappels…
MICROSOFT AD RMS
Quelques rappels…
• Les limites du système IRM…
IRM: PROTECTION DE L’INFORMATION SUR LES PÉRIPHÉRIQUES MOBILES
Section n°4
IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES
IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES
Porter AD RMS
• Microsoft propose un Kit de Développement pour les éditeurs de logiciels: AD RMS SDK
• Il est possible d’intégrer la protection AD RMS sur un logiciel ou OS non Microsoft
• Des éditeurs proposent des extensions à AD RMS pour des périmètres non Microsoft:
IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES
AD RMS sur Windows Phone 7.5 & 8
Attention: consommation
AD RMS uniquement
IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES
AD RMS sur iOS
IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES
AD RMS sur Android
IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES
AD RMS sur BlackBerry
IRM: PROTECTION DE L’INFORMATION SUR LES PERIPHERIQUES MOBILES
AD RMS sur Windows 8 RT
AZURE, PÉRIPHÉRIQUES MOBILES ET AUTHENTIFICATION ACTIVE DIRECTORY
Section n°5
Azure, périphériques mobiles et authentification Active Directory
Azure, périphériques mobiles et authentification Active Directory
Windows Azure
• Un ensemble de services hébergés pour:– Stocker du contenu– Héberger vos machines virtuelles (OS)– Délivrer du contenu multimédia– Gérer vos identités: Windows Azure Active Directory– Etc.– Développer et héberger vos applications ou offres de
services: Centrify Direct Control for SaaS & Mobile
Evolution: Windows Azure
AD RMS
Azure, périphériques mobiles et authentification Active Directory
Centrify DirectControl for SaaS & Mobile• Intégrer vos périphériques
mobiles dans Active Directory
• Gérer vos règles de sécurité depuis Active Directory (GPO)
• Porter l’authentification Active Directory à l’extérieur de l’entreprise
• Appliquer les règles de sécurité à l’extérieur de l’entreprise
• Proposer un SSO multi-applicatifs ou de la fédération depuis AD et WAAD*
Azure, périphériques mobiles et authentification Active Directory
Centrify DirectControl for SaaS & Mobile
PROTECTION DES PÉRIPHÉRIQUES MOBILES VIA ACTIVE DIRECTORY
Centrify Direct Control for Saas & Mobile:
Azure, périphériques mobiles et authentification Active Directory
Azure, périphériques mobiles et authentification Active Directory
Centrify DirectControl for SaaS & MobileQ2 2013
Azure, périphériques mobiles et authentification Active Directory
Centrify DirectControl for SaaS & Mobile• Totalement gratuit pour l’ensemble
des fonctions sans restriction jusqu’à 3 applications gérées
• Support de Windows 8 RT et Windows Phone 8 sur Q2 2013
• Inscription sur: http://centrifyexpress.cerberis.com/
Azure, périphériques mobiles et authentification Active Directory
Pour aller plus loin…• Blog Francophone sur la gestion des identités et
des accès: http://www.identitycosmos.com
• Centrify for SaaS & Mobile: Inscription gratuite via http://centrifyexpress.cerberis.com/
• Les autres sessions BYOD des Techdays 2013
• Les sessions sur SystemCenter et Intune
• Les sessions sur Azure et WAAD
• Le stand d’Intel -> Technologie Intel AT
Donnez votre avis !
Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Questions / Réponses
Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner gratuitement
Essayer gratuitement nos solutions IT
Retrouver nos experts Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.comhttp://aka.ms/generation-app
http://aka.ms/evenements-developpeurs http://aka.ms/itcamps-france
Les accélérateursWindows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDNhttp://aka.ms/devteam
L’IT Team sur TechNet
http://aka.ms/itteam
4 ouvrages écrits par 13 Microsoftees
http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
Top Related